Web セキュリティに特化した新資格


■Web セキュリティに特化した新資格

以前、セキュリティの新資格として、

CompTIA Pentest+ について紹介したが、

これとは別に、また新たなセキュリティの資格が出た模様。

ウェブ特化のセキュリティーの新試験、第一人者が監修
https://www.nikkei.com/article/DGXMZO3874212010122018X20000/

第一人者とは、徳丸浩さんのようだ。

安全な Web アプリケーションの作り方

というバイブル的な書籍の著者としても有名な方だが、

セキュリティ関係の会社を立ち上げて、

代表取締役になっている模様。

そこまでできる人もたいしたもんだなぁと思う。

と、そんなことはさておき、今回の資格は

「ウェブ・セキュリティ試験」

という名前で、その名の通り、

ウェブサイトのセキュリティに特化した内容の模様。

試験の種類としては 2 種類あって、

基礎試験と実務知識試験ということのよう。

試験料も 1 万円と、個人でも出せない範囲ではない。

ウェブセキュリティに特化している、という点が

吉と出るか凶と出るか、という感じだが、

ウェブアプリのセキュリティ確保などは

確実に相当数の需要があるはずなので、

吉と出る可能性は十分にあると思う。



個人的には、こうした機能面・技術面に

特化した資格が出てくることは、よい傾向だととらえている。

セキュリティの資格には、これまで本サイトでも述べてきたが、

既に、国家資格である情報処理安全確保支援士や、

国際的には非常にメジャーな CISSP などが存在している。

その意味で言えば、こういった民間資格ができたからといって、

どれほど意味があるのか、という話もあるとは思う。

しかしながら、上述の資格はいずれにしても、

セキュリティに関する全般的な知識

が求められるもの。

セキュアコーディングやインシデント対応、

ネットワーク技術など、全般的に知っていることが必要となる。

しかしながら、セキュリティの専門家が

本当にすべての知識を知っておく必要があるかといえば、

もちろん持てれば理想的ではあるが、

現実的にはかなり無理があると思う。

別の記事で、

“完璧なセキュリティ人材”などいない
企業のリーダーはなぜ幻を追い求めるのか
https://www.sbbit.jp/article/cont1/35584

というのもあったが、なんでもかんでもこなせる

セキュリティ専門家なんていないのである。

例えば、インシデントハンドリングをする人に必要な能力は、

セキュリティに関する詳細な技術的知識ではなく、

関係各所との調整や、対応状況の進捗確認、

遅れが出ている場合はその影響評価とリカバリー策の検討、等々

どちらかといえば優秀なマネージャーとしての能力だと思う。

一方、脆弱性分析をする人は、そんな能力は特に不要で、
*もちろんあるに越したことはないが

脆弱性やハッキング手法に関する詳細な知識が必要となる。

結局、役割によって必要となる知識や能力は違うのだが、

現状、世の中的にも、

「セキュリティ専門家 = どの役割でも対応できる」

と思われている、またはそうあることが求められているように思う。

それは無理なのだ。

もっというと、脆弱性分析という役割であっても、

PHP コードで発生する脆弱性と、

C/C++ で生じる脆弱性は異なるため、

本当はプログラミング言語や個々の技術別に

専門家がいることが望ましいと思う。

そういう観点で考えた場合、

情報処理安全確保支援士や CISSP などは、

個別の知識や専門性ではなく、

高いレベルで広い範囲に対応できるかどうか、

を求められており、その分難易度も障壁も高いと思う。

また、その意味で言えば、

CompTIA CySA+ や CompTIA Pentest+ などは、

役割別の資格という意味で一歩前進のように思える。

が、こちらも役割別にはなっているものの、

ペンテスターといったって、

Web アプリに対する侵入テストと、

ネットワークに対する侵入テストでは、

当然求められる知識は変わってくる。

なので、やっぱり今回のような、

技術特化に近い形のセキュリティ資格ができたことは、

「少なくともその技術はあるよ」

ということを提示できる意味でも、よいのではないかと思う。



そういう風に考えているので、今後はもう少し、

技術分野別のセキュリティ資格

が増えていけばよいと思っている。

そうすれば、

1. 専門知識分野は今回のような技術分野別の資格で提示する
2. 役割を担えるかは CompTIA のような役割別の資格で提示する
3. 全体的に見れるかどうかは、情報処理安全確保支援士等で提示する

というような、レベルや役割別の住みわけが

できるのではないかと思っている。

そうすると、

セキュリティ組織のリーダー・マネージャークラスが欲しい!

なら、

CISSP や情報処理安全確保支援士を持っていると有利!

となるだろうし、

Web アプリ開発をセキュアにできる人が欲しい!

なら、

今回のウェブセキュリティ試験合格者

が有益、というのがわかりやすくなるのではないかと考えている。

ということで、重ねてになるが、

やっぱりこういう技術分野別のセキュリティ資格が

新設されたことは、喜ばしいことであるし、

可能であればぜひ活用していきたいと思った次第。



とはいえ、セキュリティに関することならば

なんでも知っている人になりたい私としては、

今回の試験内容も気になるところ。

PHP はほぼ触ったことがないし、

Web セキュリティに関しても、基本的なことはわかっているが、

実装含めて詳細までわかっているとはいいがたい。

なので、これを機に受験してみてもよいかと考えだしている。

本試験は 2019 年 12 月ということで、

ちょうど一年あるから、準備期間としては

まだ余裕があると考えてよいかな。

といっても何を勉強すればいいんだろうか?

まぁ多分恐らく、徳丸さんの会社がかかわっている以上、

徳丸本とも呼ばれる、

これ↓

を勉強しておけばいいんだろうな。

amazon でのレビューも、数は少ないが、

わかりやすい良書、という評価ばかりだし、

値段も 4,000 円しないぐらいだから、

まずはこれ買って一通り読む、というところからかなー。

しかし、機械学習の勉強もしたいし、

Python もちゃちゃっと書けるレベルになって、

いろいろスクリプトで楽できるようにしたいし、

この資格も興味あるし、でやること山盛りだな…。

とはいえ、この年になってまだまだやりたいことがある、

というのはとても良いことだと前向きにとらえ、

一つ一つ学んでいこうかな。

しかしその前に今やるべきことを終わらしてしまわないと、

どれにも着手すらできない…。

頑張らねば。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ パーマリンク